トレンドマイクロのウイルス対策ソフト「ウイルスバスター」が原因で、大規模な障害が発生した事件に関して、同社は4月23日会見を開いた。会見は同日午後6時ごろから翌深夜1時半過ぎまで、断続的に7時間超続く異例の長さとなった。

 その理由は、同社でも障害発生の原因を完全に把握できていないため。日本法人代表の大三川 彰彦執行役員は、「23日午前に配信したパターン・ファイルに不具合が存在した」ことを認め陳謝したものの、原因は「パターン・ファイル作成を担当するフィリピンのラボが一部のテストを省略してしまった」とするだけ。発生原因については「現在、状況を確認中」の理由で言及を避けた。

 会見当初、大三川代表は「テストはしていたはず。しかしこのような事態になったからには、それが不十分だったのかもしれない」と説明。だが、「不十分とはどういうことか」との質問に答えられず、いったん会見は中断。その後「個別のコードについてのテストはしたものの、パターン・ファイル全体のテストを怠った」と説明した。

 さらに報道陣が「商品としてユーザーに配信する最終形のパターン・ファイルをテストしなかったのか」と指摘すると、再び会見は中断。情報収集後、会見を再開し、「どのテストをしなかったかははっきりしない」(大三川代表)と、今度は明言を避けた。

 トレンドマイクロによると、通常は同社のフィリピン・ラボでパターン・ファイルを作成すると、新たに加わったパターン単体のテストや、パターン・ファイル全体のテストを、複数のOS上で繰り返し、安全であることを確認した上で、ユーザーに配布する。ところが、23日午前に配信したパターン・ファイル「2.594.00」は、なぜかテストの一部が省略されてしまった。同社は現在、問題のパターン・ファイルを配信サーバーから削除し、修整版のパターン・ファイルに差し替えている。

 今回の障害に伴い、トレンドマイクロは24時間体制で電話、ファクシミリ、電子メールによる問い合わせに応じる。これまで同社のサポート・センターに寄せられた問い合わせ件数は、個人ユーザーから7万1000件以上、企業ユーザーからは2500件以上という。トレンドマイクロによると、今のところ21社で不具合が発生している。

無限ループの原因は新機能か?

 問題のパターン・ファイル「2.594.00」は23日の7時33分から9時2分まで配信された。トレンドマイクロ製のウイルス対策ソフトを利用しているXP SP2搭載パソコンが自動更新などで同パターン・ファイルを導入すると、CPUの負荷がほぼ100%に高まったり、起動できなくなったりする。

 「2.594.00」には、新たにUltra Protectと呼ぶ圧縮形式のファイルを検査する機能が追加されている。トレンドマイクロは「この機能にバグが存在した可能性が高い」(黒木 直樹上級セキュリティエキスパート)とみている。Windows XP Service Pack2とWindows Server2003には、OSの一部としてUltra Protectを使ったファイルが標準で含まれており、それを発見したウイルスバスターが検査を試み、無限ループに陥る。結果としてCPU負荷が急増してしまう。

 この現象が見られるのは、「ウイルスバスター2004/2005」、「ウイルスバスター コーポレートエディション」、「Trend Micro Client/Server Security」の3製品。ただ確認されている現象は、使用製品により異なる。

 ウイルスバスター2004/2005の場合、問題のパターン・ファイル2.594.00をダウンロードすると、ウイルスバスターはOSを再起動するようメッセージを出す。それに従ってWindowsを再起動するとすぐにCPU負荷が高まり、動作が異常に遅くなる。OSが起動しないケースもある。つまり、再起動した時点で障害が発現する。

 ウイルスバスター コーポレートエディション、およびTrend Micro Client/Server Securityの場合は、パターン・ファイルをダウンロードした時では再起動しないため、障害は発生しない。ただし、「Internet Explorer」や「エクスプローラ」を起動すると、その時点でCPU負荷が高まり、障害が起きる。

 これらは、24日午前1時時点でトレンドマイクロが把握している障害の事象である。今後のトレンドマイクロによる検証や、ユーザーによる障害報告によって変わる可能性がある。

月曜日以降も安心できない

 トレンドマイクロは、問題となったパターン・ファイルはすでに配信を取りやめ、新しいパターン・ファイルに差し替えている。だが、まだ障害が発生していないユーザーも、引き続き注意が必要だ。

 障害が発生するのは、前述した製品とOSを利用しており、かつ23日の7時33分から9時2分の間にパターン・ファイルをダウンロードしたクライアント・パソコン、サーバーである。パターン・ファイルを1日1回以上の頻度で更新するよう設定していれば、明朝には新しいパターン・ファイルをダウンロードするはずなので障害は発生しない。

 しかし、1週間に1回など、もっと間隔をあけて更新するよう設定しているクライアントやサーバーは、まだ問題のパターン・ファイルのままである可能性がある。ウイルスバスターのユーザーは、たとえ障害が発生していなくても、必ずパターン・ファイルのバージョンを確認し、「2.594.00」であればすぐに最新版をダウンロードする。

 トレンドマイクロは2月21日から、パターン・ファイルの更新頻度を、週1回からから1日1回に変更している。トレンドマイクロは「それに伴って、お客様には更新頻度を『毎日』に設定するよう呼びかけている」(黒木上級セキュリティエキスパート)と説明するが、それまで多くの製品は標準設定が「週1回」。問題のパターン・ファイルを抱えているクライアント、サーバーは少なくないはずである。

 障害復旧には、Windowsをセーフ・モードで起動して問題のパターン・ファイルを手動で削除するという、難しい作業が必要である。トレンドマイクロは、一連の復旧作業を簡単にするツールを配布する予定(関連記事)。同社のWebサイトで公開するほか、CD-ROMも作成して配布する。

福田 崇男=日経コンピュータ